g0018-admin338 - RunkIntel

# admin@338 ## Visão Geral **admin@338** é um grupo de espionagem cibernética com base na China, rastreado pela FireEye desde pelo menos 2013. O grupo se especializa em alvos de **política financeira, econômica e comercial** - think tanks, jornais financeiros, governos e agências com papel em relações comerciais internacionais, especialmente envolvendo a China. O grupo é conhecido por duas características operacionais distintivas: o uso de **eventos midiáticos globais como isca** em campanhas de spear-phishing (aproveitando notícias de repercussão para aumentar a credibilidade dos anexos) e o uso do **LOWBALL** - um malware sofisticado que utiliza a **API do Dropbox como canal C2**, tornando o tráfego malicioso indistinguível do tráfego legítimo para serviços cloud. A campanha mais documentada ocorreu em **agosto de 2015** contra **meios de comunicação em Hong Kong**, aproveitando o contexto de protestos políticos do movimento pró-democracia. O grupo enviou e-mails de spear-phishing com documentos Word explorando [[cve-2012-0158|CVE-2012-0158]] disfarçados como artigos jornalísticos sobre os protestos. **Também conhecido como:** admin@338, G0018, admin338 ## Attack Flow - Espionagem Econômica e Financeira ```mermaid graph TB A["📰 Isca Midiática Evento de repercussão global Documento Word temático"] --> B["💥 Exploit Office CVE-2012-0158 RTF/Word T1203 Client Execution"] B --> C["🐍 PoisonIvy / Dropper Acesso inicial T1204 Malicious File"] C --> D["🔍 Enumeracao de Rede T1016 Network Config T1082 System Info"] D --> E["📦 LOWBALL Deploy Dropbox API como C2 T1102 Dead Drop Resolver"] E --> F["🔒 BUBBLEWRAP Backdoor Persistência avancada Coleta de inteligência"] classDef lure fill:#c0392b,color:#fff,stroke:#922b21 classDef exploit fill:#e74c3c,color:#fff,stroke:#c0392b classDef initial fill:#e67e22,color:#fff,stroke:#d35400 classDef recon fill:#1a5276,color:#fff,stroke:#154360 classDef lowball fill:#8e44ad,color:#fff,stroke:#6c3483 classDef persist fill:#196f3d,color:#fff,stroke:#145a32 class A lure class B exploit class C initial class D recon class E lowball class F persist ``` > [!warning] Dropbox como Canal C2 - Detecção Difícil > O LOWBALL usa a API oficial do Dropbox para receber comandos e exfiltrar dados. O tráfego malicioso é HTTPS para dropbox.com - indistinguível de uso legítimo. Bloqueio de Dropbox é inviável em ambientes corporativos. A detecção requer análise comportamental: padrões anômalos de upload/download, horários incomuns, volumes atípicos. ## Arsenal de Malware ### LOWBALL (Backdoor com Dropbox C2) O [[s0042-lowball|LOWBALL]] é a ferramenta mais inovadora do admin@338: ```mermaid graph TB A["LOWBALL Deploy Execução via dropper Primeira etapa"] --> B["Autenticação Dropbox Token hardcoded API OAuth2"] B --> C["Dead Drop Resolver Le comandos de arquivo em pasta Dropbox"] C --> D["Execução de Comandos Shell remoto Coleta de arquivos"] D --> E["Upload Exfiltrado Dados enviados para pasta Dropbox"] style A fill:#c0392b,color:#fff style B fill:#e67e22,color:#fff style C fill:#1a5276,color:#fff style D fill:#8e44ad,color:#fff style E fill:#196f3d,color:#fff ``` **Funcionamento do LOWBALL:** - Autentica com token OAuth2 hardcoded em uma conta Dropbox controlada pelos atacantes - Verifica periodicamente uma pasta específica do Dropbox por arquivos de comando - Executa comandos shell e retorna output como arquivo de resposta no Dropbox - Exfiltra arquivos de interesse fazendo upload para a mesma conta - Todo tráfego passa pelos servidores oficiais do Dropbox - evasão de inspeção de URL ### BUBBLEWRAP (Backdoor Completo) O [[s0043-bubblewrap|BUBBLEWRAP]] é o backdoor de segunda etapa com capacidades avançadas: - Shell remoto interativo com comunicação criptografada - Enumeração de processos, serviços, usuários locais e configuração de rede - Upload e download de arquivos arbitrários - Execução de comandos com output retornado ao operador - Persistência via chaves de registro e serviços do Windows - Código compilado com técnicas de ofuscação para evasão de AV ### PoisonIvy (RAT de Acesso Público) O [[s0012-poisonivy|PoisonIvy]] é usado como RAT inicial antes do deploy de LOWBALL/BUBBLEWRAP: - RAT público amplamente disponível - compra ou download gratuito em fóruns - Capacidades: keylogging, captura de tela, shell remoto, listagem de arquivos - Uso de RAT público permite deniabilidade e dificulta atribuição definitiva ## Técnicas MITRE ATT&CK | Técnica | ID | Uso | |---------|----|-----| | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos Word com isca de eventos midiáticos | | Exploitation for Client Execution | [[t1203-exploitation-for-client-execution\|T1203]] | CVE-2012-0158 em Word/RTF para execução inicial | | Dead Drop Resolver | [[t1102-001-dead-drop-resolver\|T1102.001]] | Dropbox como repositório de comandos C2 | | System Network Configuration | [[t1016-system-network-configuration-discovery\|T1016]] | Mapeamento de rede pós-comprometimento | | System Information Discovery | [[t1082-system-information-discovery\|T1082]] | Inventário do sistema comprometido | | Local Groups Discovery | [[t1069-001-local-groups\|T1069.001]] | Enumeração de grupos locais e domain | | Local Account Discovery | [[t1087-001-local-account\|T1087.001]] | Listagem de contas locais Windows | | Match Legitimaté Resource | [[t1036-005-match-legitimate-resource-name-or-location\|T1036.005]] | Disfarce de malware como arquivos legítimos | | Windows Command Shell | [[t1059-003-windows-command-shell\|T1059.003]] | Execução de comandos via cmd.exe | ## Campanhas Documentadas | Data | Campanha | Alvo | Isca/Vetor | |------|----------|------|------------| | 2013 | Campanha inicial | Think tanks financeiros, EUA | Notícias econômicas internacionais | | Ago 2015 | Hong Kong Media Campaign | Jornais e mídia, Hong Kong | Protestos pró-democracia Hong Kong | | 2015 | Financial Policy Targeting | Organizações financeiras, EUA | Relatórios de política monetária | ### Campanha Hong Kong 2015 - Detalhe A campanha de agosto de 2015 é a mais documentada do admin@338: - **E-mails de spear-phishing** direcionados a jornalistas e editores em Hong Kong - **Isca:** documento Word sobre os protestos do Movimento Guarda-chuva e eleições legislativas - **Exploit:** CVE-2012-0158 em versões desatualizadas do Microsoft Word - **Payload:** PoisonIvy como primeiro estágio, LOWBALL como segundo estágio - **Objetivo:** acesso a comúnicações internas de redações e fontes jornalísticas - **Contexto:** timing com tensões políticas Hong Kong - coincide com aumento de atividade de APTs chineses no período ## Relevância para o Brasil e LATAM O admin@338 não tem **histórico documentado de campanhas diretas contra o Brasil ou LATAM**. A relevância é indireta mas estratégicamente importante: **Setores brasileiros em risco por perfil:** - **Jornalismo financeiro:** a técnica de usar notícias econômicas como isca é diretamente aplicável a jornais como Valor Econômico, Folha de SP seção economia, e Bloomberg Brasil - **Think tanks e policy:** organizações brasileiras de política comercial, IPEA, Fundação Getúlio Vargas - perfil similar aos alvos documentados - **Câmara e Comércio:** organizações de comércio Brasil-China, exportadores de commodities com relações com a China **Lição técnica:** - **Dropbox como C2** é replicável por qualquer grupo - organizações brasileiras devem implementar DLP (Data Loss Prevention) e monitoramento de uploads anômalos para Dropbox, OneDrive, Google Drive em ambientes corporativos sensíveis > [!info] Abuso de Cloud Storage em Crescimento > A técnica do LOWBALL (Dropbox como C2) foi adotada por múltiplos grupos após sua documentação. É hoje uma TTP estabelecida. Organizações brasileiras que não monitoram uploads anômalos para serviços cloud estão expostas a esta técnica independentemente do grupo operante. ## Referências - [1](https://attack.mitre.org/groups/G0018/) MITRE ATT&CK - admin@338 G0018 - [2](https://www.mandiant.com/resources/blog/admin338-targets-hong-kong-media) Mandiant - admin@338 Targets Hong Kong Media Organizations (2015) - [3](https://www.fireeye.com/blog/threat-research/2015/11/china-based-threat.html) FireEye - China-Based Threat Actor Profiles: admin@338 (2015) - [4](https://apt.etda.or.th/cgi-bin/showcard.cgi?g=admin%40338) ETDA Thailand - admin@338 Threat Group Card - [5](https://www.secureworks.com/research/threat-actors-target-hong-kong-using-dropbox) SecureWorks - Threat Actors Target Hong Kong Media via Dropbox (2015)